6min

Cyber Threat Research : le bilan 2025

Gamaredon, SadFuture, vulnérabilités Ivanti CSA, UAC-0057... qu'a découvert l'équipe CTR de HarfangLab en 2025 ?
Cybersecurity Platform

Si vous vous intéressez à la cybersécurité, ces sujets ou ces noms vous sont peut-être familiers. Si c'est le cas et que vous avez besoin d'un rappel, ou si ce n'est pas le cas et que vous souhaitez en savoir plus, voici un résumé des recherches menées en 2025.

SadFuture : cartographie de la dernière évolution de XDSpy 

Un groupe unique de fichiers de raccourcis malveillants exploitant une vulnérabilité a été découvert grâce au suivi des menaces parrainées par des États. Cela a conduit notre équipe CTR à mettre au jour la chaîne d'infection sophistiquée et active en plusieurs étapes de XDSpy qui cible les entités gouvernementales en Europe de l'Est.  

Pourquoi est-ce important ? 

XDSpy opère de manière largement indétectable depuis 2011, avec une couverture médiatique minimale, tout en conservant des capacités sophistiquées et en ciblant de manière persistante les entités gouvernementales. Malgré la sécurité opérationnelle dont ils bénéficient, des empreintes tactiques ont été identifiées, notamment des techniques d'exécution et des modèles d'infrastructure uniques, qui ont permis de leur attribuer plusieurs campagnes. 

Le rapport complet fournit une analyse complète des logiciels malveillants, des indicateurs d'infrastructure, des IOC et des règles YARA pour les défenseurs et les chercheurs, ainsi que : 

  • Une analyse détaillée de XDigo, l'implant basé sur Go de XDSpy, y compris ses capacités de collecte de données, ses techniques anti-analyse et ses protocoles de communication
  • Un examen technique approfondi de l'exploitation de la vulnérabilité ZDI-CAN-25373, avec des découvertes supplémentaires sur les conseils d'analyse LNK, révélant comment XDSpy a utilisé la manipulation de la structure des fichiers LNK pour dissimuler des charges utiles malveillantes
  • Une cartographie complète de l'infrastructure qui relie les activités actuelles aux campagnes historiques de XDSpy

Lire l'article (EN)

PteroLNK de Gamaredon : Dead Drop Resolvers et infrastructure évasive 

Notre équipe CTR a suivi de manière active les menaces liées à la Russie et a identifié les derniers échantillons de la famille de logiciels malveillants Pterodo, étroitement associés au groupe APT Gamaredon. 

Ces échantillons, téléchargés entre fin 2024 et mi-mars 2025, ont révélé que les Dead Drop Resolvers (DDR) de Gamaredon sont toujours mis à jour quotidiennement, ce qui prouve que les opérations se poursuivent activement. 

Pourquoi est-ce important ? 

A mesure que le paysage des menaces évolue, il est essentiel de comprendre les tactiques de Gamaredon pour se défendre, non seulement en Ukraine, mais dans toute l'Europe. 

Gamaredon est plus actif que jamais, mais fait l'objet de peu de couverture médiatique approfondie. Sa capacité à échapper systématiquement à la détection et à maintenir son impact opérationnel en fait une menace persistante dans la région. 

Le rapport fournit une analyse technique, des signatures de détection, des hashes et des indicateurs d'infrastructure à l'intention des défenseurs et des chercheurs, notamment des détails sur : 

  • L'analyse du malware PteroLNK VBScript, qui est fortement obfusqué et construit dynamiquement un téléchargeur et un dropper LNK
  • Le dropper LNK qui permet une propagation rapide sur les disques locaux et réseau en remplaçant les fichiers par des raccourcis trompeurs, permettant ainsi au malware de se propager via le stockage partagé
  • L'utilisation par Gamaredon d'articles Telegraph et Teletype ainsi que des tunnels rapides Cloudflare comme infrastructure malveillante, afin de mélanger le trafic malveillant avec l'activité web légitime

Lire l'article (EN)
 

Vulnérabilités Ivanti CSA

Les vulnérabilités Ivanti CSA ont été exploitées sur le terrain à partir de septembre 2024, comme l'a récemment rappelé la CISA.

Pourquoi est-ce important ?

Notre équipe CTR a présenté ses propres recherches confirmant l'exploitation mondiale des appareils Ivanti, qui a conduit à de nombreux déploiements de Webshells à la fin de 2024. Elle partage : 

  • Des informations uniques sur les activités malveillantes qui suivent la compromission, et des IOC pour un ensemble d'implants et d'infrastructures associés
  • Une analyse détaillée des causes profondes d'une vulnérabilité Ivanti (CVE-2024-8963), liée à tort à des scripts PHP par un autre fournisseur 

Lire l'article (EN)

UAC-0057 continue de faire pression sur l'Ukraine et la Pologne 

Notre équipe CTR a identifié des campagnes d'intrusion ciblant l'Ukraine et la Pologne à partir d'avril 2025. Elle a pu relier ces campagnes malveillantes à des activités précédemment documentées de UAC-0057 (alias UNC1151, FrostyNeighborGhostwriter)  un acteur du cyberespionnage qui aurait des liens avec le gouvernement biélorusse. 

Pourquoi est-ce important ? 

Les activités identifiées visent à découvrir les systèmes compromis et à déployer d'autres logiciels malveillants si les opérateurs le jugent opportun. L'acteur malveillant a utilisé des outils facilement disponibles pour dissimuler les scripts et les implants, et s'est efforcé d'adapter la logique d'infection en fonction du pays ciblé, ainsi que de mettre en œuvre des évolutions mineures. 

L'invasion de l'Ukraine est également soutenue par des chaînes d'infection, une logique d'exécution complexe, la découverte d'informations, des implants de téléchargement et une infrastructure de command and control.

Le rapport propose des bases de référence pour détecter certaines de ces menaces et fournit des informations sur l'évolution des pratiques des acteurs malveillants.

Lire l'article (EN)
 

Les serveurs IIS de RudePanda comme en 2003 

Fin août et début septembre 2025, notre plateforme de sécurité a détecté la compromission de serveurs IIS par un module malveillant jusqu'alors inconnu, que notre équipe CTR a baptisé “HijackServer”.

En enquêtant sur cette affaire, notre équipe CTR a découvert une opération de grande envergure qui a infecté des centaines de serveurs à travers le monde, des variantes du module HijackServer, ainsi que des infrastructures supplémentaires et probablement associées.

Pourquoi est-ce important ? 

Alors que les opérateurs malveillants semblent utiliser le chinois comme langue principale et tirer parti des compromissions pour soutenir le référencementnotre équipe CTR a remarqué que le module déployé offre un canal persistant et non authentifié qui permet à n'importe quelle partie d'exécuter à distance des commandes sur les serveurs affectés. 

Lire l'article (EN)


Pour plus de détails techniques, rendez-vous sur Inside the Lab,
le blog technique de HarfangLab !
 
 
Explorer Inside the Lab (EN)

Plus d'articles

Cybersecurity Platform

Guillaume Dubuc, RSSI : "Sensibiliser est un effort de long terme."

Guillaume Dubuc est le RSSI d’Altitude Infra, 3ème opérateur d’infrastructure de fibre optique en France. Comment convaincre son board, sensibiliser…

En savoir plus
7min
Stratégie cyber
Cybersecurity Platform feature

Ransomware : étude du paysage de la menace

Techniques, groupes et nombre d’attaques : le ransomware (ou rançongiciel en français) ne cesse d'évoluer. Les cartes sont rebattues en permanence, et dans ce contexte,…

En savoir plus
13min
Stratégie cyber
Cybersecurity Platform

Les défis cyber 2024

Quel est le plus gros challenge pour 2024 et comment le relever ? Nous avons posé la question à une…

En savoir plus
1min
Stratégie cyber
Cybersecurity Platform

Antonin Garcia, RSSI : "Face aux cybermenaces, l'EDR est essentiel."

Choix stratégiques, budget, recrutement : Antonin Garcia, RSSI chez Veepee, partage avec nous sa vision de la cybersécurité.

En savoir plus
7min
Stratégie cyber